Seguridad en Aplicaciones Web         Seguridad en        Aplicaciones Web              Prof. Ing. Gabriel E. Arellano    ...
Seguridad en Aplicaciones Web             ContenidosLas aplicaciones y su seguridad.Introducción a las aplicaciones web.Am...
Seguridad en Aplicaciones Web        Aplicaciones WebQué son las aplicaciones web?páginas estáticas?                      ...
Seguridad en Aplicaciones WebAplicaciones Web          Solicitud + Datos           HTTP (GET - POST),           Variables ...
Seguridad en Aplicaciones Web            ComponentesUna aplicación web suele requerir varioscomponentes, cada uno de los c...
Seguridad en Aplicaciones Web          VulnerabilidadesLas amenazas sobre las aplicaciones web sepueden clasificar en tres...
Seguridad en Aplicaciones Web          VulnerabilidadesAlgunos problemas de validación de datos:    SQL Injection.    Cros...
Seguridad en Aplicaciones Web   VulnerabilidadesDemostración de algunosproblemas de validación       de datos.            ...
Seguridad en Aplicaciones Web         Validación de DatosPrevención:  Nunca confíe en las entradas del usuario.  Nunca asu...
Seguridad en Aplicaciones Web          VulnerabilidadesAlgunos problemas de autenticación:    Falta de politica de contras...
Seguridad en Aplicaciones Web          VulnerabilidadesAlgunos problemas de manejo de sesiones:    Manipulación de cookies...
Seguridad en Aplicaciones Web   Cross Site Request Forgery                                                       bank.com ...
Seguridad en Aplicaciones Web       Cross Site Request ForgeryPor ejemplo colocando en blog.com:<p>Parece una simple págin...
Seguridad en Aplicaciones WebCross Site Request Forgery   Ataque a una red “segura”                                     Pr...
Seguridad en Aplicaciones Web VulnerabilidadesDemostración de un ataque de CSRF.                                 Prof. Ing...
Seguridad en Aplicaciones Web    Cross Site Request ForgeryPrevención:  Evite usar sesiones persistentes.  Usar GET de man...
Seguridad en Aplicaciones Web           Lecturas AdicionalesOpen Web Application Security Project (OWASP)http://www.owasp....
Seguridad en Aplicaciones Web                          Gracias!                 Prof. Ing. Gabriel E. Arellano            ...
Próxima SlideShare
Cargando en…5
×

Seguridadappswebfrcu2008 1227940522216168-8 (1)

318 visualizaciones

Publicado el

0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
318
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
12
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Seguridadappswebfrcu2008 1227940522216168-8 (1)

  1. 1. Seguridad en Aplicaciones Web Seguridad en Aplicaciones Web Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/Semana Internacional de la Seguridad Informática 2008 U.T.N. - F.R. C. del Uruguay Prof. Ing. Gabriel Arellano
  2. 2. Seguridad en Aplicaciones Web ContenidosLas aplicaciones y su seguridad.Introducción a las aplicaciones web.Amenazas a las aplicaciones web.Algunos ejemplos.Demostración en vivo.Recursos y lecturas adicionales. Prof. Ing. Gabriel Arellano
  3. 3. Seguridad en Aplicaciones Web Aplicaciones WebQué son las aplicaciones web?páginas estáticas? páginas activas? páginas dinámicas? HTTP? Webservices? CGI? DHTML?(X)HTML? Javascript? AJAX? XML? Prof. Ing. Gabriel Arellano
  4. 4. Seguridad en Aplicaciones WebAplicaciones Web Solicitud + Datos HTTP (GET - POST), Variables de Sesión Respuesta (X)HTML+CSS, XML+XSLTCiclo solicitud-respuesta Prof. Ing. Gabriel Arellano
  5. 5. Seguridad en Aplicaciones Web ComponentesUna aplicación web suele requerir varioscomponentes, cada uno de los cualesimplica diferentes amenazas a la seguridad: Aplicación propiamente dicha. Lenguaje(s) / Framework. Servidor web. Servidor de base de datos. Navegador Web. Prof. Ing. Gabriel Arellano
  6. 6. Seguridad en Aplicaciones Web VulnerabilidadesLas amenazas sobre las aplicaciones web sepueden clasificar en tres tipos: Problemas de validación de datos. Problemas de autenticación. Problemas de manejo de sesiones. Prof. Ing. Gabriel Arellano
  7. 7. Seguridad en Aplicaciones Web VulnerabilidadesAlgunos problemas de validación de datos: SQL Injection. Cross Site Scripting (XSS). Buffer Overflow. Prof. Ing. Gabriel Arellano
  8. 8. Seguridad en Aplicaciones Web VulnerabilidadesDemostración de algunosproblemas de validación de datos. Prof. Ing. Gabriel Arellano
  9. 9. Seguridad en Aplicaciones Web Validación de DatosPrevención: Nunca confíe en las entradas del usuario. Nunca asuma que la información proviene de la aplicación. “Sanear” las entradas de usuario. Validar en el servidor. Ocultar errores y fallar en seguro. Prof. Ing. Gabriel Arellano
  10. 10. Seguridad en Aplicaciones Web VulnerabilidadesAlgunos problemas de autenticación: Falta de politica de contraseñas. Ataques de fuerza bruta. Buffer Overflow. Abuso del “recordar contraseña” Prof. Ing. Gabriel Arellano
  11. 11. Seguridad en Aplicaciones Web VulnerabilidadesAlgunos problemas de manejo de sesiones: Manipulación de cookies y tokens. Variables de sesión expuestas. Cross Site Request Forgery. Prof. Ing. Gabriel Arellano
  12. 12. Seguridad en Aplicaciones Web Cross Site Request Forgery bank.com blog.net JSdocument, cookies Política del “mismo origen” Prof. Ing. Gabriel Arellano
  13. 13. Seguridad en Aplicaciones Web Cross Site Request ForgeryPor ejemplo colocando en blog.com:<p>Parece una simple página con un poco de texto,no?<img src="http://bank.com/transfer.php?monto=9000&dest=123" width="0" height="0"/></p> Prof. Ing. Gabriel Arellano
  14. 14. Seguridad en Aplicaciones WebCross Site Request Forgery Ataque a una red “segura” Prof. Ing. Gabriel Arellano
  15. 15. Seguridad en Aplicaciones Web VulnerabilidadesDemostración de un ataque de CSRF. Prof. Ing. Gabriel Arellano
  16. 16. Seguridad en Aplicaciones Web Cross Site Request ForgeryPrevención: Evite usar sesiones persistentes. Usar GET de manera apropiada. Usar tokens y TTLs. Reautenticar en el cliente usando AJAX. Prof. Ing. Gabriel Arellano
  17. 17. Seguridad en Aplicaciones Web Lecturas AdicionalesOpen Web Application Security Project (OWASP)http://www.owasp.org/“Guide to Building Secure Web Applications”.(en español).“OWASP Code Review Guide”.“SQL Injection Attacks by Example”http://unixwiz.net/techtips/sql-injection.html Prof. Ing. Gabriel Arellano
  18. 18. Seguridad en Aplicaciones Web Gracias! Prof. Ing. Gabriel E. Arellano http://www.gabriel-arellano.com.ar/charlas/(2008) Gabriel E. ArellanoPermission is granted to copy, distribute and/or modify this document under theterms of the GNU Free Documentation License, Version 1.2 or any later versionpublished by the Free Software Foundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. The GNU Free Documentation License asapplicable to this document can be found at: http://www.gnu.org/copyleft/fdl.html Prof. Ing. Gabriel Arellano

×